tondemo

たった一日で潰されたDQ１０のフィッシングメールがまたまた再開。

今度のタイトルは「ご利用停止のお知らせ」。元々存在しないアカウントをどうやって停止するというのだろうか？止められるものならどうぞだ（笑）。

例によってメールの本文とサーバー情報を引用しておく。新サーバーのドメインは2014/03/13に取得されたばかりだ。今度は何日持つのかな？

それはそれとして、こんなペースでドメイン名取得を繰り返していて採算が合うのだろうか？他人事ながら少々気になる。それにしても、dqsexとは。そろそろ名前も種切れでやけっぱちなのだろうか？

プレーンテキスト表示のメール本文（色分けはいつもの通り。HTML表示にしていると実際のリンク先である赤字の部分は表示されない。）；

お客様のアカウントは長期間ログインされていないため、誠に申し訳ございませんが、間もなく一時停止させていただきます。
継続的にご使用になるには、一度ログインしてください。
ご面倒をおかけして申し訳ございませんが、宜しくお願いします。

https://secure.square-enix.com/account/app/svc/Login?cont=account
<http://secure.square-enix.com.a.dqsex.com/account/app/svc/Login.htm?cont=account>

株式会社スクウェア·エニックス
2014年3月14日

偽サーバー情報；
Domain Name: DQSEX.COM
Registrar: 35 TECHNOLOGY CO., LTD
Whois Server: whois.35.com
Referral URL: http://www.35.com
Name Server: NS3.DNS-DIY.COM
Name Server: NS4.DNS-DIY.COM
Status: ok
Updated Date: 13-mar-2014
Creation Date: 13-mar-2014
Expiration Date: 13-mar-2015

登録者情報；
Registrar Name: 35 TECHNOLOGY CO., LTD
Address: 8TH Guanri Road Software Park, Xiamen, Fujian 361008, CN
Phone Number: +86-592-539-5061
Email: 35domain@35.cn
Whois Server: whois.35.com
Referral URL: www.35.com
Admin Contact: xiaohong chen
Phone Number: +86.5922957045
Email: domain-market@35.cn
Admin Contact: lisa yang
Phone Number: +86.5925399502
Email: 35domain@35.cn
Admin Contact: YunFei Li
Phone Number: +86.5925395222
Email: liyf@35.cn
Billing Contact: xiaohong chen
Phone Number: +86.5922957045
Email: domain-market@35.cn
Billing Contact: XueYi Chen
Phone Number: +86.592-539-1886
Email: account@35.cn
Billing Contact: xueyi chen
Phone Number: +86.5925392141
Email: chenxy@35.cn
Billing Contact: lisa yang
Phone Number: +86.5925399502
Email: 35domain@35.cn
Technical Contact: xiaohong chen
Phone Number: +86.5922957045
Email: domain-market@35.cn
Technical Contact: Lin Gong Lou
Phone Number: +86-592-539-2141
Email: luolg@35.cn
Technical Contact: lisa yang
Phone Number: +86.5925399502
Email: 35domain@35.cn

メール送信元；
ヘッダーのReturn-Pathを見ると、名称は「account.square-enix.com」に偽装されているが、実際のアドレス[112.95.239.220]は下記の通り中国広東省にあるネットワークサービスのものようだ。

inetnum: 112.88.0.0 - 112.95.255.255
netname: UNICOM-GD
descr: China Unicom Guangdong province network
descr: China Unicom
country: CN　　　→　（中国）

追記（2014/03/15）；
メールの本文部分をソースコードで見ると次のようになっている。（適宜改行を入れて見やすく整形した）

赤字の部分がハイパーリンク文で、メールソフトをHTML表示にしていると<A href="～">と</A>に挟まれた青字の部分だけが表示される。その状態で青地の部分ををクリックすると、赤字のアドレスに移動する仕掛けになっている。これはブログなどでも、他の記事や大きな画像を参照するためにごく普通に使われる機能だが、HTML表示にしていると赤字の部分が表示されない事を悪用して、青字のアドレスに移動するかのように見せかけている。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<META content="text/html; charset=gb2312" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 10.00.9200.16843">
</HEAD>
<BODY>
お客様のアカウントは長期間ログインされていないため、誠に申し訳ございませんが、間もなく一時停止させていただきます。<BR>継続的にご使用になるには、一度ログインしてください。<BR>ご面倒をおかけして申し訳ございませんが、宜しくお願いします。<BR>
<A href="http://secure.square-enix.com.a.dqsex.
com/account/app/svc/Login.htm?cont=account">
https://secure.square-enix.com/account/app/svc/Login?cont=account
</A><BR>
株式会社スクウェア·エニックス<BR>2014年3月14日
<P> </P>
</BODY>
</HTML>

追記（2014/03/15）２；
過去の例では、来始めるとしばらくは連日来る事が多かったのだが今日はまだ来ない。早くも潰されたか、あるいは週休二日制勤務なのか？

追記（2014/03/16）；
以前の文章でまたフィッシングメールを受信。メール送信サーバーのアドレスが上海のネットワークサービスのもの変わっている。ただし偽サーバーはそのままだ。

ドメインを潰すには時間がかかるが、メールアカウントを封鎖するのは簡単と言う事かもしれない。もっとも偽の送信者名でフリーメールサービスのアカウントをとるのもごく簡単だ。かくしていたちごっこは続く。

タイトルとメール本文は以前使われたものと同じへんてこな日本語だ。

タイトル；アカウント確認のお願い
本文；
お客様のアカウントは他人により違法な（または当社規定への違反）ゲームカレンシー関連の取引に利用される危険性が検出されています。
お客様のアカウントを引き続き正常にご利用いただくために、どうぞ一度ログインして、ご確認ください。

https://secure.square-enix.com/account/app/svc/Login?cont=account
<http://secure.square-enix.com.b.dqsex.com/account/app/svc/Login.htm?cont=account>

株式会社スクウェア·エニックス
2014年3月16日


送信に利用されたサーバーの情報は下記の通り。

inetnum: 180.160.0.0 - 180.175.255.255
netname: CHINANET-SH
descr: CHINANET SHANGHAI PROVINCE NETWORK
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
admin-c: WWQ4-AP
tech-c: WWQ4-AP
country: CN　　　→　（中国）
status: ALLOCATED PORTABLE
remarks: service provider